Künstliche Intelligenz (KI) ist ein allgegenwärtiges Thema. Nebst Chancen birgt sie gerade aus datenschutzrechtlicher Sicht einige Risiken.
Die Bearbeitung persönlicher Daten durch KI-Systeme kann erhebliche Auswirkungen auf die Privatsphäre und informationelle Selbstbestimmung einer betroffenen Person haben. KI-Systeme können grosse Mengen an Daten verarbeiten und innert kürzester Zeit daraus Muster und Zusammenhänge erkennen. Es stellt sich die Frage, woher die Trainingsdaten stammen und gestützt auf welcher Rechtsgrundlage sie bearbeitet werden. Ist zudem gewährleistet, dass aufgrund der Ergebnisse der KI nicht auf einzelne Personen geschlossen werden kann?
Auch die datenschutzrechtlichen Grundsätze der Transparenz, der Zweckgebundenheit und der Richtigkeit der Daten sind Themen: Oft ist heute unklar, ob in einem System KI verwendet wird. Das ist für die datenschutzrechtliche Beurteilung eine grosse Herausforderung. Der Grundsatz der Zweckmässigkeit besagt, dass öffentliche Organe Personendaten nur für den gesetzlich definierten Zweck bearbeiten dürfen. Bürgerinnen und Bürger müssen nicht damit rechnen, dass Daten, die sie dem Staat aufgrund hoheitlicher Aufgaben überlassen, für das Training von KI-Systemen dienen. Das ist gerade bei einer Auftragsdatenbearbeitung zu berücksichtigen. Die Richtigkeit der Daten spielt nebst dem Schutz der betroffenen Personen auch bei den Trainingsdaten eine grosse Rolle: Nur qualitativ hochwertige Daten führen zu qualitativ hochwertigen Systemen.
Weiter stellen sich Fragen dazu, wie die Rechte der betroffenen Personen gewahrt werden können. Zudem ist auch der technische Schutz eine Herausforderung: Für das Training von KI werden viele auch sehr sensible Daten bearbeitet. Schwachstellen müssen geschützt und die Manipulation verhindert werden.
Das öffentliche Organ ist in der Pflicht: Einerseits muss es beim Einsatz von KI sicherstellen, dass alle gesetzlichen Anforderungen erfüllt werden. Möchte ein öffentliches Organ KI einsetzen, dürfte eine Datenschutz-Folgenabschätzung (Einschätzung der Risiken einer Datenbearbeitung bezüglich der Grundrechte der betroffenen Personen) nötig sein. Je nachdem, wie hoch das Risiko für die betroffenen Personen noch ist, nachdem Massnahmen getroffen wurden, ist auch eine Vorabkonsultation erforderlich. Bei einer Auftragsdatenbearbeitung muss das öffentliche Organ sicherstellen, dass Daten nicht für das Training von KI verwendet werden. Zudem müssen die Mitarbeitenden geschult und sensibilisiert werden. Die Regierung hat ein Merkblatt für die Handhabung, beispielsweise von DeepL oder ChatGPT, erlassen. Es wird kein Verbot vorgesehen, sondern auf eine rechtskonforme Handhabung unter Berücksichtigung des Datenschutzes verwiesen. Die FDS begrüsst diese Stossrichtung. KI wird je länger je mehr ein unverzichtbarer Bestandteil des Alltags sein. Es ist wichtig, die Mitarbeitenden auf einen datenschutzkonformen und verantwortungsbewussten Umgang zu sensibilisieren.
Wichtig ist auch die gesellschaftliche Diskussion. KI betrifft jeden Einzelnen. Können Bürgerinnen und Bürger mitbestimmen, wächst auch das Vertrauen. Und das ist essenziell für sämtliche Aufgaben, die der Staat erfüllt.
